# Beztēma >  E-talons drošība

## Vinchi

Sveiki!

Kā vērtējat topošā E-talons drošību. 
Vai neparādīsies ar laiku klonētas kartes?

īsti nav skaidrs vai pie kompostrēšanas tiks kaut kas ierakstīts pašā kartē vai arī trolejbus būs visu laiku online režīmā un kā strādās kontrole?

Kāds ir jūsu viedoklis par šo tematu?

----------


## Delfins

online režīms diez vai, jo tur vistacamāk tad vajadzēs super wireless pieslēgumu ar minimāliem signāla zudumiem un ātru "atsaucību". Lai pavilktu tādu servisu ne viens vien klāsters būs jāuzliek (čeko "kredīta" atlikumu)

Visticamāk rakstīs iekšā. Kā to darīs - hvz. Ja magnētiskais princips - vajadzēs ilgi kost vaļā.

----------


## Vikings

Šitas man ļoti asociējas ar Maskavas metro. It īpaši jau papīra kartes noteiktam braucienu skaitam, kuras identiski var iepirkt metro kasēs un kuras līdzīgi kā e-talons jāpieliek pie nolasītāja. Vai tiešām tāda papīra kartelē var kaut ko no attāluma ierakstīt? Tomēr online režīms arī liekas nereāls it īpaši jau braucošam transportam.

----------


## karloslv

Katrā pieturā uzstādi bezvadu piekļuves punktu:

1) pieturā transportlīdzeklis stāv, tad arī transportlīdzekļa kompis visu nosinhronizē ar centrālo DB, 
2) starp pieturām diez vai izkāpsi un izmantosi īso brītiņu, kurā kredīta stāvoklis nav vēl sinhronizēts

----------


## a_masiks

Variants varētu būt RFID.
Kartē ir tikai pliks subskraibera ID. Pieejam pie RF nolasītāja, novicinām karti - ID ierakstās troļibasa kontroliera atmiņā. vakarā vai galapunktā davienalga ar ko nolasām un atskaitām naudu no kartes konta.
Kontrole ienāk, nolasa esošo SID sarakstu, noskrien gar pasažieriem, nolasa jamo karšu ID. Ja tavas kartes ID nav troļibasa listē - pa purnu.
iespēja laist troļibasā kā rūpnīcas caurlaidē - tikai pīkstinot karti, iespēja sinhronizēt melnās listes, iespēja pieturā nodrošināt vietējo vairlesu vai caur citiem sakariem, iespēja iekasēt nevis fiksētu summu, bet iekāpjot ielogoties - izkāpjot izlogoties, attiecīgi samaksāt tikai par nobraukto attālumu.

----------


## jeecha

Nedomaaju ka tiks izmantota centralizeeta sisteema un on-line interfeiss starp terminaali un centralizeeto uzskaites sisteemu - tas buutu paaraak daargi, sarezhgjiiti un arii nevajadziigi. Paaraak liels datu apjoms buutu jaasinhronizee un katrs biljetes "kompostreeshanas" terminaalis sanaaktu paaraak daargs.

Nevaig aizmirst ka chipkartes muusdienaas, athskjiriibaa no karteem ar magneetisko celinju, ir krietni vairaak kaa vienkaarshi atminja (parasti vinjaam ir specializeets mikroprocesors kas speej veikt piemeeram DES un RSA kriptograafiju). Liidz ar to nav nekaada probleema garanteet kartes autentiskumu un komunikaaciju parakstus un shifreeshanu, pateicoties kam izmantojot asimetriskus kriptograafijas algoritmus (piemeeram RSA) var pietiekami labi nodroshinaaties pret kartes kopeshanu, nesankcioneetu datu lasiishanu/rakstiishanu utml. Taakaa visticamaak visi eTaloni darbosies apmeeram kaa VISA vai Mastercard "contactless elektroniskie macinji" (nejaukt ar maksaajumu karteem ar kontaktiem), kurus pasaulee pamazaam saak ieviest kaareiz prieksh liidziigu pakalpojumu (sabiedriskais transports, aatraa eedinaashana utml) apmaksas.

P.S. Augstaakmineetais ir tikai spekulaacija no cilveka kas maizi pelna rakstot programmatuuru maksaajumu karshu un draudziigajiem biznesiem, labi paarzin "jaunaakaas veesmas" shajaa jomaa pasaulee, toties neko nezin par konkreetaa eTalona projekta tehnisko realizaaciju.

----------


## Velko

Ar online varētu sanākt baigā ķēpa - būs grūti nodrošināt, lai darbojas vienmēr un visur.

Bez online, ar vienkāršu ID sanāk baigais caurums. Var tak "novicināt" arī tukšu karti. ID pierakstās, aparāts nopīkst ka viss kārtībā. Bet kartes konts tukšs, no kā atskaitīt nav. Var arī nejauši tā gadīties - būs argumenti ar ko atgaiņāties no kontrolieriem. Pārbaudīt pret kādu white/blacklistu ar' nav reāli - tas lists ātri vien uzaugs līdz nenormāliem apjomiem. Un lists jāapstrādā būs tam automātam. Nedomāju ka tur iekšā būs kāds megaprocesors.

Paliek iespēja glabāt informāciju pašā kartē. Izmantojot kriptogrāfiju varētu sanākt puslīdz droši. Tomēr tas paver plašākas iespējas šīs kartes uzhakot.

----------


## karloslv

> Nedomaaju ka tiks izmantota centralizeeta sisteema un on-line interfeiss starp terminaali un centralizeeto uzskaites sisteemu - tas buutu paaraak daargi, sarezhgjiiti un arii nevajadziigi. Paaraak liels datu apjoms buutu jaasinhronizee un katrs biljetes "kompostreeshanas" terminaalis sanaaktu paaraak daargs.


 Negribu baisi lekties, bet šis mani sasmīdināja. Cik pasažieri katrā pieturā izkāpj/iekāpj? Cik baitiņu uz katru cilvi ir jānosūta? Cik ir transporta līdzekļu visā pilsētā vienlaicīgi uz ceļa? Cik kilobaitu sanāk? Nenormālās datubāzes un trafiki? Un kāds salīdzinoši ir, piemēram, draugiem.lv serveru trafiks? Nu nu...

Pie tam - neviens nav teicis, ka tā būs lēta sistēma. Pietiek paskatīties Dienvidu tilta virzienā. 




> Nevaig aizmirst ka chipkartes muusdienaas, athskjiriibaa no karteem ar magneetisko celinju, ir krietni vairaak kaa vienkaarshi atminja (parasti vinjaam ir specializeets mikroprocesors kas speej veikt piemeeram DES un RSA kriptograafiju). Liidz ar to nav nekaada probleema garanteet kartes autentiskumu un komunikaaciju parakstus un shifreeshanu, pateicoties kam izmantojot asimetriskus kriptograafijas algoritmus (piemeeram RSA) var pietiekami labi nodroshinaaties pret kartes kopeshanu, nesankcioneetu datu lasiishanu/rakstiishanu utml.


 Viss pareizi tiktāl, kamēr no lietotāja tiek pieprasīts "paraksts" jeb autorizācija pinkoda veidā, piemēram. Cik man zināms, tantēm nebūs jāspaida pinkods autobusā. Ja tā nav, tad kāds RSA tev palīdzēs? Ja simetriskā kriptēšana (DES) - iebāžam pseidokarti un lasām, ko autobuss mums sūta un saņem. Sūtām to pašu pretī ar savu pseidokarti. Ja asimetriskā kriptēšana (RSA) - kas ievadīs publisko atslēgu?

Jautājums tiem, kas domā par offline sistēmu - kāds būs interfeiss starp karti un autobusu? Ja šāds:
1) komanda "noņemt 1 tugriku"
2) komanda "pārbaudīt vai ir vēl kaut viens tugriks" - atgriež 0 vai 1,

tad kāpēc lai es nevarētu uzcept pseidokarti, kas vienmēr uz otro jautājumu atbild ar "jā", sūtot baits baitā to pašu, ko mana legāli nopirktā karte? Kā šeit palīdz kriptogrāfija?

----------


## Delfins

> tad kāpēc lai es nevarētu uzcept pseidokarti, kas vienmēr uz otro jautājumu atbild ar "jā", sūtot baits baitā to pašu, ko mana legāli nopirktā karte? Kā šeit palīdz kriptogrāfija?


 tad vispirms dabū to nolasītāju.. jeb tu domā braucot troļukā sēdēt blakus aparātam un hakoties!?  :: 
Visticamāk nebūs tā, ka sūta tikai baitiņu. visticamāk atmiņā glabās pasažieru ID/datums/laiks, 

Tas nozīmē, ka pieprasīs ID, pieprasīs šifrēto atlikumu ziņojumu, un tad prasīs noņemnt 1 tugriku.
Kontrolieris ienāk, nolasa pasažieru ID no autobusa atmiņas, iet cauri un skanē visus. Ja atrod "nereģistrēto", talona konfiskācija + sods (drīzāk būs krimināls, par viltošanu)

Līdz ko tev vajadzēs sagādāt atbildes visiem "ziņojumiem"  ::

----------


## zzz

Dziivee vienmeer ir dazhaadi risinaajumi..  :: 

Okei, pie normaalas pareizi pielietotas kriptograafijas snifferi/grabberi utml neko nedod un uztaisiit feiku kartinju ir stipri gruuti.

Bet nu veel tak pastaav arii vienkaarshi prasti jammeri. Iekaapj kontrolieri - ops, peekshnji nelasaas neviena kartinja, kaa nu pasazhierus kontroliereesim?

----------


## Vinchi

Es pieļauju ka papildinot etalonu no speciāla bankomāta atkarībā no tā cik braucieniem tu papildini kartē ierakstīs attiecīgu daudzumu ar derīgiem kodiem kuri tiks reģistrēti papildinot karti. 

Tālāk kompostrējot katru kodu atzīmēs ka nokompostrētu un piereģistrēs troļuks.
Vēl jau nav zināms bet RFID var būt ar samērā lielu atmiņas daudzumu un pārrakstīšanas skaitu.

Pastāv vēl viens jautājums cik droša ir sistēma pret elektromagnētiskajiem traucējumiem. Piemēram iekāpj cilvēks ar spīdošu plazmas lampu vai lielu spoli kura iesvārstīta uz attiecībo frekvenci un sistēma sāk gļukot  :: 

Karšu ID taču arī varēs izskanēt caur rokassomiņām.

----------


## Delfins

http://www.engadget.com/2008/03/13/one- ... -to-hacks/




> Two different teams of security researchers managed to crack the encryption on the cards, which form the basis of a national payment system in the Netherlands and are used widely in other applications around the world

----------


## cobalt

Gnjau ka šitas pac vien būs:
http://en.wikipedia.org/wiki/MIFARE
http://www.computerworld.com/action/art ... Id=9069558
http://www.schneier.com/blog/archives/2 ... ifare.html

Un cik redzēju dažos autobusos, tad viņos ir ACS lasītāji (13.54 Mhz).
Laigan neviens no šinī lapā redzamajiem precīzi nesakrita:
http://www.acs.com.hk/contactless-readers.php
Te var redzēt vienā bildē:
http://etalons.rigassatiksme.lv/lv/par_ ... _e-talonu/
Visvairāk nomāc doma, ka visiem būs jāreģistrējas... tātad visi tie, kam līdzšim ibja kartiņa un uzrādija to pēc vajadzības kontrolei, pie iekāpšanas tagad būs spiesti bakstīties gar lasītāju un taisīt vel lielāku drūzmu sab. tr-tā.
Nu ja jau es esmu samaksājis par vesalu mēnesi.. kāda velna pēc jāreģistrē brauciens..kontrole taču var vienkārši pārbaudīt pašas kartiņas autentiskumu  un derīgumu tekošajam laika periodam... pieļauju iespēju satiksmes plūsmas uzlabošanai.. bet redzot to kā bieži viņiem ir organizēta satiksme stipri šaubos.
Uz šo man RS uz e-pastu neatbildēja.

Bet vispēr ko dod tāda uzlaušana... kontrolei jau nerādīsi kautkādu DIY elektronikas brīnumu.. ja nu vienīgi kautko pašā oriģinālajā kartē var pārrakstīt.

----------


## JanisB2

Nu, tātad, info, ko pastāstīja tantuki kas bildē ļautiņus e-talona kartēm:

*Zādzības gadījumā var atjaunināt atlikušo kredītu skaitu.* (ja ir talons ar vārdu/uzvādru)
tas nozīmē, ka tomēr IR centrālā datubāze, ar kuru sinhronizējas troļiki. Manuprāt, visērtāk to var darīt galapunktos vai 'depo', kaut vai wired-type konekcijā (iebāž RJ-45 troļikā un lādē info). Tas, savukārt,  nozīmē, ka pat izveidojot fiktīvo karti, uzstaisot reālas kartes dublikātu vai uzlaužot protokolu - prieks braukalēt būs tikai 1 dienu maksimums. Ja viltot esošo, uztaisot klonu, tad (ja karte nav sava. Ja ir - priekš kam taisīt, ja strādās tikai 1 dienu?) īpašnieki var būt nedaudz šokēti, cik ātri beidzas `kredīti`, un sākt meklēt vainīgus. Nedomāju, ka varēs igli slēpties no tiem visiem.

*Ienākot kontrolei, visi 'kompostrētāji' tiek izslēgti nafig un sākās pārbaude.*
tas ir - viņiem rokās ir savi lasītāji un viņi pārbauda TAVU karti. Secinājums - info par TEKOŠO braucienu tiek ierakstīta kartē.

Principā, neredzu iespēju šo te sistēmu 'uzhakot' vairāk, nekā uz vienu dienu vai baigās neveiksmes gadījumā - vairāk par 1 braucienu.

Par MIFARE ir laba prezentācija, respect cilvēkiem: http://media.koeln.ccc.de/browse/con..._security.html

----------


## Delfins

Īstenībā karti var papildināt kaut kādos spec. bankomātos, tas nozīmē, ka "kredīts" tiek piešķirts uzreiz... kaut kas neticam jau ir.. varbūt tomēr paiet kaut kāds laiciņš. Un īstenībā nosinhronizēt var arī ar GPRS trafiku (pārklājums visā LV  :: ). Vienīgi to datu tā kā pa daudz būs...

----------


## JanisB2

> nozīmē, ka "kredīts" tiek piešķirts uzreiz...


  - nav jau tekits, ka bankomats to kredītu ieraksta kartē, nevis galvenā datubāzē ;)

----------


## Delfins

Tieši tā, ieraksta bāzē,.. un tas nozīmē, ka pēc minūtes kāpjot iekšā busā mani veiksmīgi "nokomposterēs"... tas nozīmē, ka busam ir jau jābūt vai nu hi-speed links uz bāzi, vai online sinhronizācija. Bet es šaubos, ka katrā busā būs DB ar visām kartēm (tas nozimē, ka katrā sinhro-posmā jāielādē viss transakcijas logs no iepriekšējās reizes).

Visticamāk, ka rakstīs iekšā kartē arī - dienas beigās/galapunktos verificēs bilances uz kartēm (to var fiksēt ID/bilance) un ja kaut kur krāpniecība, vnk risinās "ar kulaku"

Karte (bilance/transakciajs nauda): +20 bilance


```
+20/+20 (iemaksa)
+19.60/-0.40
+19.20/-0.40
```

 -> 19.20

Fake Karte (bilance/transakciajs nauda): +20 bilance


```
+20/+20 (iemaksa)
+19.60/-0.40
(hack-resets), +20 (tipa iemaksa)
+19.60/-0.40
```

 -> 19.60

Jebkura neatbilstība bāzē starp transakcijām ir pieskaitāma pie "krāpniecības"
Bilance uz kartes kalpo tikai kā "tekošā konta bilance pārbaude", lai ļautu braukt, vēlāk varēs taisīt blacklist-u dienas beigās un sinhronizēt galapunktos

----------


## Texx

> ...
> Nu ja jau es esmu samaksājis par vesalu mēnesi.. kāda velna pēc jāreģistrē brauciens..kontrole taču var vienkārši pārbaudīt pašas kartiņas autentiskumu  un derīgumu tekošajam laika periodam... pieļauju iespēju satiksmes plūsmas uzlabošanai.. bet redzot to kā bieži viņiem ir organizēta satiksme stipri šaubos.
> Uz šo man RS uz e-pastu neatbildēja.
> ..


 Šitas jau būtu loģiski. BEt RS jau neies palaist garām statistikas datus. Lai noskaidrotu kādos maršrutos un cik braukā pasažieris. Lai rēķinātu noslogojumus un cenas. Pie tam, kurus tagad būs salīdzinoši viegli ievākt.

----------


## Delfins

Gribi tici, gribi nē, bet RS diez vai būs uz 100% ieinteresēts optimizācijā... viņus dotē, un no katra maršruta (sarēķinātie vajadzīgie izdevumi) tiek kaut kāds "atkats". Sakrājot šādus maršrutus tiek pie pamatīgas naudiņas  ::  Viņus neuztrauc cik tas ir izdevīgi valstij  ::

----------


## JanisB2

Ar vienuvārd' sakot - pagaidām nav iespējas `uzlauzt` E-talončiku uz iglu laiku. Drošiba nav tik zema, ka liekas.

----------


## Vinchi

Man jau šķiet ka E-talona drošība slēpjās tur ka RS uzskata ka nebūs tik daudz cilvēku kas spēs šīs kartes nolasīt un pārrakstīt  :: 

Pagaidīsim tad jau redzēsim kāda infa glabājas šajās kartēs.

----------


## Speccy

Ja nevarēs tāpat "izkost" kā tie čipi darbojas tad pielietos spēcīgākus paņēmienus tādus kā te http://www.flylogic.net/blog/  ::

----------


## nezakis_x

Nu protams, var jau nesimetrisko kriptografijas sheemu izmantot, izveidojot jaunaas kartas ID. Tad ir problema "salauzt pirmo reizi". Bet, njemot veera to, CIK izplatita ta atslega bus (katra aparata, ka nekaa) - pietiek salauzt vienu reizi, jo nomainiit slepeno atsleegu nebuus iespejams, jo tad visas kartes jamain.

Un tad - katru ritu programejam "svaiguliti", visu dienu braucam. Rit ta jau blaklistee (pienemsim) - nu i labi, mums jau jaunaa. Ja, minus tas, ka jabuut "pie rokas" agregatam, un, tapeec, tadu cilveku skaits, tiesham, bus neliels. Jo savienojums  galva+rokas+zheli Ls40 men+nebrauc ar auto - ir, tiesham, retums  :: 

Otraa versija - blaklistu jau var ljoti aatri parpildiit... Diez vai tur aizsardziiba stavees...

----------


## Delfins

> Laikraksta rīcībā nonākusi informācija, ka «Rīgas satiksmes» darbinieki negaidīti atklājuši kļūdas validatoru darbībā — dažas ierīces nepareizi saskaita naudas summa — viena brauciena maksas vietā no e-talona var pazust visa tur esošā nauda, kā arī, tiklīdz tramvajs nav savienots ar strāvu, modernās ierīces atslēdzas.


 http://www.apollo.lv/portal/news/articles/150484

----------


## Texx

Interesanti. Bet visas šīs problēmas ir atrisināmas. Var tak ielikt kādu industriālo UPS vai akumulatorus. Un tie aparāti jau tik daudz nerij to elektrību, lai nevarētu uz 5 minūtēm nodrošināt darbību. Ceru, ka šī nebūs kārtējā afēra, kā ar digitālo tv. Kaut gan pārliecības lielas nav.

----------


## Delfins

Tas, ka tā ir afēra, jau bija zināms kopš pašiem pirmssākumiem:
- ieviesa talonus
- zibenīgi ievajadzējas talonus nomainīt uz e-taloniem

Tā tiek darīts bizness jebkurā A/S vai citā lobētā uzņēmumā, kur figurē valsts dotācijas un t.t.

----------


## Vinchi

Kaut kur dzirdēju ka laikam 12 miljoni uz E-talona ieviešanu aiziet  :: 

Pa 12 ļimoniem to sistēmu no jauna tak var izstrādāt te pat LV  ::

----------


## Delfins

ne tas pirmais tāds bija, ne arī vienīgais tagad, un arī vēl būs tādi, kamēr nauda pumpējama...

----------


## marizo

Jā, sistēmas izmaksas ne pa jokam: ~10 milj. Ls ierīkošana + ~5 milj. Ls/gadā uzturēšana.
Vispār izskatās pēc baigās naudas izšķērdēšanas. Tā kā pats no Rīgas esmu tālu, tad nevaru spriest par ērtībām/neērtībām. Vien dzirdēju, ka vienā tajā etalonā var "dabūt iekšā" vairāku veidu biļetes, piemēram, vienu maršrutu + vienreizējās.

----------


## jeecha

To ka to visu vareeja ieviest arii vismaz divreiz leetaak ir skaidrs.
To ka to vareeja arii uztaisiit sadarbojoties vairaakaam vieteejaam kompaanijaam (taadeejaadi stimuleejot muusu pashu ekonomiku un neradot papildus tekoshaa konta deficiitu) - arii skaidrs.

Bet diemzheel pie mums taa nenotiek - kaads sanjem "otkatu" no projekta un konkurss tiek organizeets jau zinot uzvareetaaju. Nav jau gruuti vieteejos piegaadaataajus (un latvijaa ir kompaanijas kas vareeja un pat gribeeja nodroshinaat gan tehnologjisko gan programmatuuras pusi shaadam projektam) izrubiit konkursa nosaciijumos ierakstot piemeeram prasiibu par ieprieksheeju pieredzi preciizi shaada projekta realizaacijaa...

----------


## andrievs

> ....To ka to visu vareeja....ir skaidrs....
> To ka to vareeja arii .... arii skaidrs.... pie mums taa nenotiek - kaads sanjem "otkatu" ....


 Atkal kārtējās pingvīn-lietussargu gaudas! Ja viss ir tik skaidrs, kur ir tavs iesniegums prokuratūrai?!
Vai nu pierādījumus galdā, vai muti ciet un būdā iekšā!
Pieriebušies mūžīgie gaudotāji!!!

P.S.  Pingvīns ir "putns", kurš nekad nelidos.

----------


## Delfins

> Vai nu pierādījumus galdā, vai muti ciet un būdā iekšā!


 tur jau tā lieta, ka pierādīt ir vienkārši - jo ir konkursa noteikumi. cita lieta, ka nevar apsūdzēt, jo viss ir likuma robežās - ir konkurss, ir konkursa noteikumiem  atbilstošs uzvarētājs.

pēc būtībās latvijai tādu līgumu oj ku daudz, tikai vot neviens likumdošanu gan nemaina, jo tas ir izdevīgi "starpniekiem" dēļ tiem pašiem "atkatiem".
Es pats zem tāda esmu strādājis un zinu - tur viss ir likumīgi un viss iet kā pa sviestu. diemžēl likumos nav nekur atrunāts par iespējamo kaitniecību, kad viens no konkursa pretendentiem ir vienīgais vai stipri dominējošā stāvoklī ar kaut kādu trumpi, kas iepriekš "sarunāts" kaut vai pie tases kafijas... diemžēl.

Ko Tu tad tagad piedāvāsi darīt? Iet visus atšaut?

----------


## Vinchi

Vispār diezgan stulbs ir uzraksts uz E-talona ka tas ir Rīgas Satiksmes īpašums.
Sanāk ka saplēšot izlietotu E-talonu es bojāju Rīgas Satiksmes īpašumu.  :: 

Šķiet ka tomēr visa sistēma darbojas online režīmā. Laikam kartē ir tikai kartes ID kuru pie pirkšanas piereģistrē.

Nākamnedēļ mēģināšu ar RFID lasītāju nolasīt etalonu.

Kādam ir pieredze ar RFID karšu lasīšanu, kādu softu viss labāk izmantot?

----------


## Delfins

ja tu tā saki, tad id gan jau ka ir uz pašas kartes uzdrukāts  :: 
tas nozīmē, lai apčakarētu, jāzin citas aktīvas kartes id, jo kad nāks kontrole - lasīs šo id un salīdzinās ar tekošo stāvokli.

----------


## zzz

Plus veel - a IDs ta uz uz kartinjas uzdrukaats fiziski un cilveekam nolasaamaa veidaa - kas noziimee ka voobschem ta kontrolieris var (un to droshi vien arii vairaak vai mazaak dariis) saliidzinaat to ko vinjam apuraats uzraada ar uz kartes uzdrukaato. Rezultaataa - izgatavot ticamu un straadaajoshu feiku neizskataas iisti vienkaarshi. Fendereet sveshus IDus no liidzbrauceejiem lai arii droshi vien buutu tehniski iespeejams tachu neko vis nepaliidz, jo jaavilto ne tikai kartes smadzenes, bet arii aareejais izskats/uzdrukaatais numurs.

----------


## Delfins

kā arī zagt nav labi...

----------


## zzz

Nee nu, tas vairaak par teemu vai savu jee-talonu ir nepiecieshams ciitiigi glabaat hermeetiskaa blekja kastiitee starp lietoshanas reizeem, lai hakeri nenozog datus. Kaa izskataas - shaads uzbrukuma veids pats par sevi ir nepietiekams, taapeec domaajams ka sameeraa maz biistams. 

Bet blekja kastiiti var ieviest tik un taa, naakotnes biometriskajaam chipotajaam paseem utt.

----------


## Velko

> ja tu tā saki, tad id gan jau ka ir uz pašas kartes uzdrukāts 
> tas nozīmē, lai apčakarētu, jāzin citas aktīvas kartes id, jo kad nāks kontrole - lasīs šo id un salīdzinās ar tekošo stāvokli.


 


> kā arī zagt nav labi...


 Kurš tad te runā par sistēmas apčakarēšanu/zagšanu? Teiksim - mani arī interesē "kas lācītim vēderā", bet tas nenozīmē, ka sākšu hakot sistēmu vai klonēt kartes.

----------


## zzz

No treshaas puses..

Ja taa uzmet aci netam, mifare taa kaa skaitaas uzhakota vairaak vai mazaak. 

Protams tur veel ir taa atskjiriiba starp uzhakota no kriptograafu viedoklja un uzhakota praktiski pielietojamai piraateeshanai.

Peedeejais kaa jau mineeju iesaistiitu arii reaalistisku kartes aareejaa izskata viltoshanu, kas buutu gruuti.

Kas veel, nu pienjemsim cilveeks savu papildinaamo karti iemanaas papildinaat pats bez naudas un likumiigaa aparaata iesaistiishanas. Suudi buus vienalga, jo kopiigajaa statistikas datubaazee ta paraadiisies neatbilstiiba starp iemaksaatajaam naudinjaam un nobrauktajaam reizeem. 

No ceturtaas puses...

Laikam gan mifaaristi ir sistemochkaa nohaltuureejushi sho to. Taa staasta.

----------


## Vinchi

Vai kādam ir info kādā veidā tiem troļukiem tiek nodrošināts online režīms, GPRS?
Ja GPRS tad mobilo telefonu bloķētājs var radīt pamatīgas problēmas šai sistēmai.


Vēl pieņemsim mēdz būt cilvēki kuriem patīk čakarēt sistēmu nesavtīgos nolūkos. Pieņemsim saskanēs kodus un pēc tam 1000 kartēm vienā reizē noņemt nost naudu.

Attiecībā uz RFID kartēm un pasēm laba lieta varētu būt plāna ferīta plāksne.

----------


## 0xDEAD BEEF

varetu ari izcakaret rfid frekvenci, kad nak kontrole. Vini nevares nolasit kartes un tu varesi braukt pa zaki. Manuprat, daudz vienkarshaks aproach!  :: 
BEefs

----------


## Delfins

kā tad tev tas izdosies? ka visiem kartes nolasās un tev ne? jeb tu domāji noblokjet visu tā ar jaudīgu "slāpētāju", ka aparāts (transporta beigās) vairs nejutīs  karti no 0.5 cm attāluma?  ::  dream-on...

----------


## 0xDEAD BEEF

Nu tiesi ta es ari domaju! Nobloket ta, lai nevienam nelasa/nevar iecekoties.
RFID tacu jabut loti vajam raiditajam lai nebutu gruti nojaukt normala radiusa to padarisanu.

----------


## ansius

зшкьы егкзштфе зщыеше иуяоуупфф 

sorry, aimirsu parsleeties

pirms turpinat bezjēgā postot, lūgums nu vismaz iepazīstieties ar RFID darbības principiem. RFID nav iespejams noslaapeet, bet nosvilināt gan ar areejaam ieriiceem, pareizaa frekvencee pareiza jauda tik jadabon un mikroshema, kas arii pati barojas caur antenu mirst, tikai tad no autobusa bus jāizlidina liels bars cilvēku un tevi ari, jo tava karte bija vistuvāk  :: 

nu tik dumji viņi nav un aizsardzības sistēmas ir ieliktas (nu neba RS izstrādāts) bet gan nopirka gatavu jau pārbaudītu risinājumu (+ latviskojumu)

šādas sistēma uzlaušanas ekonomisks pamatojums ir murgs. Ok, saprastu sportisku interesi. līdzīgi kā DD-WRT softs priekš linksys, bet 40 santīmu dēļ, kriminālu vēsturi dabūt? neskaitot laiku ko esam iztērējuši (ko letiņš nez kāpēc nespēj pārvērst naudas vienībās). Piem RFID autentifikācija darbojas NBS Ādažu bāzē un veiksmīgi. pie tam pat pagaidu caurlaides ir RFID.

----------


## Delfins

RFID tagad ir praktiski uz katra stūra, arī manā darbā  ::

----------


## Vinchi

Tomēr Parallax RFID lasītājs nelasa E-talonus jo ir paredzēts uz 125 Khz, bet E-taloni darbojas uz 13.56 MHz (ISO 14443)

----------


## olle.bolle

kas var apstiprināt e-talona darbības frekvenci, jo ir iespējams izmantot citu mhz, ne "iso standartu"; es stipri brīnītos, ja franču ražotaji, kas taisīja šo pasūtījumu, izmantotu "whitepaper" tehniskos parametrus nevis savu kastomizētu darbības frekvenci un protokolus;

----------


## zzz

A nahrena speciaalu frekvenci, pokemon? 

Jaaties ar iipashu lasiitaaju utml izstraadaashanu, frekvences regjistraaciju utt., tikai taapeec ka vienam subjektam nesakariigas fantaazijas un murgi par rfidu teemu?

Standarti tieshi taapeec ir standarti, lai tos ieveerotu, un sisteemas droshiibu nodroshina taas darbiibas algoritmi, nevis "slepenaa"  frekvence.

----------


## jeecha

Jaunizceptajiem "hakeriem" dereetu atcereeties arii to ka piekjershanas gadiijumaa (ljoti gan shaubos ka tie kuriem rodas jautaajumi par lietotaam frekvenceem spees kautko tieshaam uzlauzt) nebuus vairs runa par administratiivo sodu par braukshanu bez biljetes. Pants buus krietni bargaaks un ljoti iespeejams ar reaalu briiviibas atnjemshanu...

Pienjemot faktiski neiespeejamo scenaariju ka kaads no censonjiem tomeer atrod kaadu caurumu sisteemaa - ko taalaak? Braukaas pats pa velti riskeejot ar piekjershanu? Sataisiis draugiem (vai pasarg dies tirgos) viltotas kartes taadeejaadi katastrofaali palielinot iespeeju tapt nostuchiitam? Publicees "howto" par sho teemu kaadaa forumaa lai palieliitos un gaidiis maajaas droshiibas iestaazhu viziiti?

----------


## Vinchi

Eu nu beidziet, šeit kāds runā par kādu uzlaušanu??? Ja LV būtu pirmā valsts pasaulē kur šī sistēma tiktu ieviesta tad varbūt jā.
Diskusija vairāk ir velīta RFID jo pēc atbildēm spriežot izskatās ka reti kurš no biedriem ir mēģinājis nolasīt kādu RFID karti vai iekļaut savos projektos.

----------


## Delfins

jebkura nesankcionēta pieeja tiek sodīta. pat ja tas ir aiz labas gribas. Ja vien nav noslēgts līgums par "outsourcing-u" un sistēmas drošības pārbaudi  ::

----------


## next

Tas ka es tramvajaa klausos radio jau laikam gan nebuus sodaama lieta.
No kurienes zinjas par 13 MHz, darbiibas distance kaareiz izskataas peec kilohercu diapazona?
Kas notiek ja uztveereejam pietuvina vienlaikus vairaakas kartes?

----------


## Vinchi

Paskatoties pret gaismu uz Etalonu var redzēt ka iekšā pa vidu ir iedrukāts ISO 14443 tā ka 13.56 Mhz

Es ar par to iedomājos kas notiek ja divas kartes pieliek, pirms kāda laika redzēju youtube video kur viens zem RFID durvju sensora pielīmē mazu čipu un citus čipus vairs neatpazīst.  ::

----------


## marizo

Skaisti būtu, ja arī izkāpjot būtu jāpiereģistrē tas talons. Un mēneša beigās tev atsūta atskaiti - cik km esi nobraucis, kur bijis, vēl visus punktus uz kartes atliktus. RS būtu normāla statistika ievākta, gan jau ātri varētu atrast, kur tu dzīvo!  :: 

Nez, kā samaksāt par bagāžas pārvadāšanu, ja ir līdzi tikai e-talons, bet naudas nav?!  ::  Nemaz nerunājot par brauciena izmaksāšanu meitenei..  ::

----------


## Delfins

> Nemaz nerunājot par brauciena izmaksāšanu meitenei..


 brauciena čeks pa 0.50s vienmēr būs pie autovadītāja.
pieļauju, ka bagāža arī tur ir jāpērk.

----------


## marizo

es domāju to nereālo situāciju, kad par pēdējiem santīmiem (2 Ls) esi nopircis 5x braucienu e-talonu.  ::

----------


## Delfins

http://www.tvnet.lv/zinas/latvija/article.php?id=615520




> Pēdējā laikā interneta telpā esot parādījušies hakeru piedāvājumi iegādāties "uzlauztus" e-talonus, vismaz tā apgalvo laikraksts "Telegraf". Jāpiebilst, ka laikraksts vismaz publiski nav nācis klajā ar pierādījumiem. Arī Rīgas satiksme noliedz minēto informāciju.
> 
> Latvijas IT speciālisti vidū it kā tiekot runāts par to, ka elektroniskās biļetes sistēmu esot uzlauzuši programmētāji - iesācēji, min "Telegraf". Pēc TVNET rīcībā esošās informācijas, ieguldītais darbs un tehnikas izmaksas pašizgatavotam e-talonam neatmaksājas, jo lētāk ir nopirkt oriģinālu.
> 
> Pēc neoficiālas informācijas esot iespējami divi krāpšanas veidi - "mūžīgā" biļete jeb e-talons ar neierobežotu skaitu braucienu un papildināmā biļete, kura lietojama kopā ar pašizgatavotu ierīci, kas ļauj nepieciešamības gadījumā e-talonu papildināt. Otrajā gadījumā izskaitļot "zaķi" ir gandrīz neiespējami, raksta avīze.
> 
> "Rīgas satiksmes" preses sekretāre Iluta Bērziņa noraidījusi informāciju par iespējamu elektroniskās biļetes sistēmas uzlaušanu. Pēc viņas teiktā, nav reģistrēti šāda rakstura nelegālas rīcības mēģinājumi. Ja kaut kas tāds notiktu, sistēmas izstrādātājam saskaņā ar līgumu ir jākompensē zaudējumi. Bērziņa arī atzīmējusi, ka analogas elektronisko biļešu sistēmas strādā arī citās valstīs, turklāt ilgāk nekā Rīgā.
> 
> Uzņēmuma "Rīgas karte", kas ieviesis un apkalpo e-talona sistēmu, valdes loceklis Aleksandrs Brandavs laikrakstam paudis šaubas par to, vai sistēmu var uzlauzt.

----------


## JanisB2

Neuzlaužamo lietu nav. + mani iepriecina to ļaudīšu pārliecība, ka viss ir OK un _nevar_ to etalonu uzlauzt. To, ka pat MIFARE chipu (fiziski) ir atvēruši vaļā pa slāņiem viņi laikam nezin...

----------


## 0xDEAD BEEF

Nu jaskatas! Man jau tada sajuta, ka to talonu nevar uzlauzt, jo talona ir tikai numurs uz datubazi un visa autorizacija notiek onlaina, bet varbut es kljudos. Jebkura gadijuma - tas butu arkartigi stulbi un dargi glabat uz etalona ta vertibu!
Beefs

----------


## pterodaktils

> Neuzlaužamo lietu nav. + mani iepriecina to ļaudīšu pārliecība, ka viss ir OK un _nevar_ to etalonu uzlauzt. To, ka pat MIFARE chipu (fiziski) ir atvēruši vaļā pa slāņiem viņi laikam nezin...


 bija stāsts par neuzvaramo melno bilu. Kam viņš vajadzīgs - ar to stāsts beidzās. No jebkuras narvesena būdas nozodz uzlādes automātu un lādē kartes uz nebēdu. Nopērc mēnešbiļeti uz vienu transportu vienā līnijā un pārvērt viņu par darbinieka karti uz visām līnijām pilnā 24 h režīmā.

----------


## pterodaktils

Pidari. Uzreiz skanē kompi - it kā es kādu uzlauzšanas programmu turētu uz tā.

----------


## JDat

rekur pods http://pods.lv/2009/11/17/e-talons_uzlauzts/ par jums raksta, bet tam ir arii amizants links http://etalons14miljoni.wordpress.com/ uz dzhekinju kur meegina kaut ko uzlaust. video par pases droshiibu iespaarta http://www.youtube.com/watch?v=9isKnDiJNPk un releated. tagad pases bildes lapu esmu aptinis ar spiidiigo shokolaades paiiriiti (taada kaa uzmaicama folijas mapiite sanaak) un klaat pieliku 2 tukshus etalus lai nevar nolasiit. kas zin kaadi briinumi lidostaas vai aarzemees notiek...

----------


## Delfins

tu tagad spamosi visos topikos pēc kārtas?

tas pods.lv raksts un pats "jaunums" jau gadu vecs

----------


## JDat

nu ka pa piespamoshu. kas cits man atliek. maacos no EPJA palagus raxtiit.   ::

----------


## kabis

Kāds vispār zina, ka http://etalons.lv/ lapā ir kkas krieviski rakstīts par e-talona čekošanas nobloķēšanu? Cik no bildes sapratu, tad kontroliera aparātu var nobloķēt ar GSM džameri, ko pa lēto var pasūtīt no dealextreme. Droši vien sanāk lētāk nekā mēnešbiļete  ::

----------


## pterodaktils

Kontrolieriem pat vidējās izglītības nav, sāks visiem sist pa seju, ja aparāts nestrādās. http://www.orb.lv/blog/?item=98139




> Kāds vispār zina, ka http://etalons.lv/ lapā ir kkas krieviski rakstīts par e-talona čekošanas nobloķēšanu? Cik no bildes sapratu, tad kontroliera aparātu var nobloķēt ar GSM džameri, ko pa lēto var pasūtīt no dealextreme. Droši vien sanāk lētāk nekā mēnešbiļete

----------


## JDat

vispaar ideja: uzbuuveet jammeri uz 14 koma cik tur MHz un paskatiitites kaa reagees kontrolieri, ka shiem aparaati nedarbosies.
Cik liela iespeeja, ja var nojamot to aparaatu signaalu1-2 metru attaalumaa? vieniigi, taads attaalums var izraisiit probleemas (var saprast, kursh ir vainiigais, Ja nu maseet uz kaadiem 10-15 metriem, tad pastaav iespeeja, ka ESD sakers un iedos bietee. tomeer slikta ideja.   ::

----------


## mehanikis

neesmu vēl interesējies kāda frekvence kaitētu, bet traucējumu diez vai tik viegli izzondētu, ja domātu ka aparatūra kirdik, tad telefoni daudziem arī nestrādātu-cits arī ieminētos ka kāds uzdarbojas, ja vien nav pro  ::  kad ieviesa šo sistēmu arī es lauzu galvu par paštaisītu papildinātāju, jeb stacionārā "kases aparāta" vietā papildināt pašam, un pīkstināt kā visi, nezinu kā tiek viss reģistrēts-vai ir GSM tīklā sūtīta info kuri taloni(to ID) ir aktivizēti, un kuram cik pēc datubāzes ir, ja tā tad nekā nebūs ar tādu domu, ja vien kkā piebojāt lasīšanu  ::  , bet tā kā ir auto tad sabiedrisko aizmirsu uz visiem laikiem  ::

----------


## JDat

Spriezhot peec http://etalons14miljoni.wordpress.com/ sisteema straadaa offline. Taatad kartee ieraksta kaut ko, kas saka troleibusa aparaatam, ka karti var lietot. Protams kriptograafija uc lietas, traucee maajaas papildinaat. nav tur amatieri taisiijushi to sisteemu. Bet... itkaa kliist baimas ka Maskavas metro taa pati sisteemu un itkaa krievu pauikaam izdevies uzlaust. Internetaa pat bija video, ka viens ir nospeeris papildinaamo (vai nolasaamo verkji) un maajaas peeta.

Man ir pavisam vienkaarsha (slikta) doma. Uztaisiit generatoru uz tiem 13 vai 14 koma cik tur megaherciem un aizsist eeteru, lai neviena karte nestraadaa, kameer esmu transportaa. Kotrolieri liidz ar to nevar paarbaudiit vai mana karte ir deriiga vai jau beigusies. Tikai jaachakaree eteru, taa lai nenojaush ka ir chakareetaajs un nesadod bietee.

----------


## mehanikis

var pamēģināt tās kartes kopēt, jeb dabūt tukšas, un kopiju laist iekšā, jeb vienreiz nopirki un tik kopē  ::  bet kā padosies tas kodējums, ideāli būtu ja ar visu to varētu ņemt, pat nelaužot vaļā

----------


## JDat

Nee, Meh!

Pret taada veida muljkiibaam ir aizsardziiba kan kartees, gan arii troljikos. Kartee bija (ja nemaldos) 128 baiti ar informaaciju, bet dalju no tiem baitiem nevar nolasiit. Palasi taa keksa aprakstos. Vinjam pat bija dokuments ar to kas kur un kaa rakstaas.

----------


## 0xDEAD BEEF

Domāju - par zilā etalona uzlaušanu varam uzreizu aizmirst, jo tur tiek izmantota pietiekoši spēcīga publiskās atslēgas kriptogrāfija. Dzeltenais izskatās ļoti cerīgi. Par jammeriem iesaku aizmirst  - principā - tikai lielāki sūdi var sanākt. Tik pat labi vari vienkārši iebāzt savu etalonu mikroviļņu krāsnī un stāstīt čalim, ka kaut kas sačakarējies (ķipa ar pāris palikušiem braucieniem).
Man šajā sakarā bija viena doma, kas pat varētu izdoties ar dzeltenajiem, bet nu Pišakovs te runā, ka varētu atgriezties pie kontrolieriem, tādēļ nav vērts censties!  :: 
Beefs

----------


## mehanikis

nu lab, man galva par E nesāp jo pārvietojos citādi  ::  bet ar laiku varbūt kad nebūs ko darīt vajadzēs paākstīties ar uzlaušanu  ::

----------


## SpiegS

http://hackaday.com/2010/11/28/rfid-spo ... tructions/

----------

